Gemeinsam gegen Hacker

Die Stadtverwaltung von Witten im Ruhrgebiet war größtenteils lahmgelegt. Auch Schwerin, Wismar und Stralsund waren im Oktober 2021 Opfer von Cyberangriffen. Und das wenige Tage bevor das Bundesamt für Sicherheit in der Informationstechnik (BSI) zusammen mit dem damaligen Bundesinnenminister alarmierende Zahlen veröffentlichte: Die Bedrohung durch Cyberangriffe hatte im Berichtszeitraum deutlich zugenommen. BSI-Präsident Arne Schönbohm sprach von „Alarmstufe Rot“. Und immer häufiger geraten Kommunen und kommunale Einrichtungen ins Visier der Cyber-Kriminellen. 

"Kommunen sind nackt"
Die größte Bedrohung: digitale Erpressung durch Ransomware. Angreifer verschlüsseln die Daten und verlangen Lösegeld, um sie wieder zu entschlüsseln. Der Landkreis Anhalt-Bitterfeld in Sachsen-Anhalt hatte vergangenen Sommer den Katastrophenfall ausrufen müssen. Zum ersten Mal in der Bundesrepublik wegen eines Cyberangriffs. Sozialhilfe auszahlen oder Fahrzeuge ummelden ging nicht. „Die Kommunen sind nackt“, zitierte „Zeit online“ den IT-Sicherheitsexperten Manuel Atug vom Verband der Internetwirtschaft. Was kann man tun?

Gegen Sicherheitsrisiken aus dem Cyberraum kämpft das Niedersächsische Computer-Emergency-Response-Team (N-CERT). Die Experten-Gruppe wurde vom Innenministerium gegründet und soll die Auswirkungen auf die IT-Systeme der Landes- und Kommunalverwaltung minimieren. Vor zwei Jahren nutzten schon 100 Kommunen das Angebot.

Als größter kommunaler IT-Dienstleister in Niedersachsen deckt der Zweckverband Kommunale Datenverarbeitung Oldenburg (KDO) das gesamte Anforderungsprofil öffentlicher IT ab: Individual- und Standard-Fachanwendungen, Hosting und zentraler Betrieb, Cloud- und E-Government-Lösungen, Datenschutz und vieles mehr. Den KDO gibt es seit über 50 Jahren.

"Als moderne Verwaltung wird das digitale Angebot für unsere Bürger:innen immer wichtiger. Aber auch innerhalb der Verwaltung ist die Technik nicht mehr wegzudenken. Die Folgen von Datenpannen und
Hackerangriffen werden uns dabei erschreckenderweise fast schon im Wochenrhythmus vor Augen geführt, mit all ihren gravierenden Auswirkungen bis zum Stillstand und Ausfall der öffentlichen Daseinsvorsorge. Es ist alternativlos, IT-Sicherheitskonzepte mit Expertise sorgfältig zu entwickeln, konsequent umzusetzen und zu pflegen, auch wenn es manchmal unbequem ist. Austausch und Unterstützung in einer kommunalen Interessengemeinschaft kann dabei von großem Wert sein.“

Detlev Kohlmeier, Landrat Nienburg/Weser

Eine Genossenschaft ermöglicht bereits speziell den Kommunen in Sachsen-Anhalt eine interkommunale Zusammenarbeit auf dem Gebiet der IT. Gründungsmitglieder waren etwa die Landeshauptstadt Magdeburg und die Gemeinde Barleben. Inzwischen hat die 2009 gegründete KITU – die Kommunale IT-Union – bereits 90 Mitglieder: Landkreise, Städte und Gemeinden, Stiftungen, Anstalten des öffentlichen Rechts (AöR) sowie Zweckverbände aus Sachsen-Anhalt.

Effizienz und Expertise
Fachkundiges Personal beherrscht die zunehmende Komplexität beim Einsatz von IT und den steigenden Anforderungen an Datenschutz und Datensicherheit. Genossenschaftsmitglieder können größere Strukturen zum Betrieb von IT mitnutzen. Das spart Haushaltsmittel. Änderungen der gesetzlichen Rahmenbedingungen können zeitnah und in der Zusammenarbeit mit anderen Kommunen umgesetzt werden. Durch die Nutzung größerer Strukturen, die Bündelung des Bedarfs an IT-Leistungen sowie die Erfahrungen der Experten der KITU eröffnen sich Einsparpotentiale. Ausschreibungen werden überflüssig, es gibt Rahmenverträge. Weitere Einspareffekte entstehen durch Mengenrabatte bei der Beschaffung von Hard- und Software sowie bei Schulungs-, Wartungs- und Unterstützungsdienstleistungen.

Vorteil Genossenschaft
Das Besondere an KITU ist die Organisationsform einer Genossenschaft. Sie ermöglicht es, weitere Mitglieder ohne besondere formale Anforderungen – wie etwa einer notariellen Beurkundung – aufzunehmen. Eine Genossenschaft ist eigenorganschaftlich strukturiert, Mitglieder und Handelnde verfolgen dieselben Interessen. Bei Ein- oder Austritt einer Kommune gibt es keine Probleme bei der Bewertung der Genossenschaftsanteile.

„Die Abwehr von Cyberangriffen ist für Kommunen und öffentliche Institutionen eine Herkulesaufgabe. Und das nicht nur in finanzieller Hinsicht. Ein Beispiel: In den vergangenen drei Monaten hat unsere IT-Sicherheitsinfrastruktur rund 185.000 E-Mails mit schadhaften Dateianhängen abgefangen. Als KITU-Gründungsmitglied waren wir schon zu einem frühen Zeitpunkt für das Thema ‚Cybercrime‘ sensibilisiert worden und haben daraufhin unsere Sicherheitsinfrastruktur deutlich ausgebaut und verbessert.“

Frank Nase, Bürgermeister der Gemeinde Barleben

Um besser gegen Angriffe gewappnet zu sein, prüft das Ministerium für Infrastruktur und Digitales des Landes Sachsen-Anhalt derzeit die Möglichkeit, ein Cyberhilfswerk aufzubauen. „Ziel des Landes ist es, im Verlauf des Jahres 2022 mit einem Pilotprojekt zu starten“, heißt es auf Anfrage des Deutschlandfunk aus dem Ministerium.

Die Idee zu einem Cyberhilfswerk (CHW) hatte bereits die unabhängige Experten-Arbeitsgruppe KRITIS. Zur Begründung heißt es in einem Konzept: „Katastrophen-Szenarien die aus populärer Belletristik wie z. B. "Blackout" von Marc Elsberg bekannt sind, sind inzwischen nicht nur möglich, die Eintrittswahrscheinlichkeit solcher Szenarien ist bereits substanziell und steigt sogar noch täglich.“ Das CHW soll eine Art schnelle Einsatzgruppe sein, die in der Lage ist, kurzfristig auf Großschadenslagen zu reagieren und vor Ort an relevanten IT-Systemen Hilfe zu leisten. „Primäre Zielsetzung ist dabei immer der Schutz der Bevölkerung vor den Auswirkungen von Ausfällen oder Einschränkungen der kritischen Infrastruktur beziehungsweise ihrer kritischen Versorgungsdienstleistung“, so KRITIS weiter.

Avacon betreibt „kritische Infrastruktur“ – wie etwa die Energieversorgung. Unser Informationssicherheitsverantwortliche weiß, durch welche Tür die Angreifer üblicherweise kommen …

„Ob Kommunen oder Mittelständler: Die Cyber- Kriminellen greifen dort an, wo sie sich Erfolg – sprich: Geld – erhoffen“, sagt Dominic Mylo, Information Security Officer bei Avacon. Die Erpressung läuft meist über das Verschlüsseln von Daten, oder immer häufiger auch mit der Drohung, gestohlene, sensible Daten zu veröffentlichen. „Mit zunehmender Vernetzung wächst die Angriffsfläche“, stellt Mylo fest. Die Einfallstore sind in der Regel Schwachstellen auf Systemen – wie im vergangenen Jahr die Microsoft-Anwendung „Exchange“ – und die Schwächen der Menschen. „Jeder Mitarbeiter, der auf einen dubiosen Rabatt-Link klickt, kann eine Tür für die Angreifer öffnen“, so Mylo. Deshalb testet auch er regelmäßig seine Mitarbeiter, ob sie auf solche Phishing-Köder hereinfallen. „Nicht, um sie vorzuführen“, sagt er, „sondern, um das Bewusstsein zu schärfen und daran zu lernen.“ Bei Avacon heißt das „Human Firewall“.

Denn dass sich ein Unternehmen oder eine Kommune allein auf einzelne Sicherheitsmaßnahmen wie eine Firewall verlässt, hält der Information Security Officer für trügerisch. „Die Zahl der Schadprogramme steigt rasant“, so Mylo. „Wir gehen davon aus, dass Angreifer auch eine Firewall überwinden können.“ Wichtig sei dann, was danach passiert. Es gilt, den Angriff möglichst schnell festzustellen und sofort zu handeln. „Wenn wir drauf warten, dass ein Mitarbeiter den Stecker zieht, ist es vermutlich zu spät.“

Besondere Maßstäbe werden übrigens an die Sicherheit der „kritischen Infrastruktur“ – der operativen Technologien der Energie- und Wasserversorgung – gestellt. Diese Netze sind besonders abgeschottet. Avacon erfüllt hier die strengen Vorgaben im IT-Sicherheitskatalog der Bundesnetzagentur, der Versorger ist nach internationalem Standard zertifiziert. Trotzdem lässt Avacon seine Systeme von Penetrationstestern – also beauftragten Hackern – prüfen und probt jährlich den Krisenfall. „Was genau wir da machen, werde ich aber nicht verraten.“ Dominic Mylo selbst ist also auch Bestandteil der „Human Firewall“.